首頁 > Java > java教程 > java如何防止sql注入

java如何防止sql注入

青灯夜游
發布: 2019-05-06 17:31:14
原創
4793 人瀏覽過

SQL注入是比較常見的網路攻擊方式之一。它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師編程時的疏忽,被不法用戶鑽了SQL的空子,透過SQL語句,實現無帳號登錄,甚至篡改資料庫。以下這篇就來跟大家介紹幾種java防止sql注入的方法,希望對你們有幫助。

java如何防止sql注入

java防SQL注入,最簡單的方法就是杜絕SQL拼接。 SQL注入攻擊能得逞是因為在原有SQL語句中加入了新的邏輯,如果使用PreparedStatement來取代Statement來執行SQL語句,其後只是輸入參數,SQL注入攻擊手法將無效。

我們就來看看java防SQL注入的方法:

1、採用預編譯語句集,它內建了處理SQL注入的能力,只要使用它的setString方法傳值即可:

String sql= "select * from users where username=? and password=?;
PreparedStatement preState = conn.prepareStatement(sql);
preState.setString(1, userName);
preState.setString(2, password);
ResultSet rs = preState.executeQuery();
登入後複製

2、採用正規表示式將包含有單引號('),分號(;) 和註解符號(--)的語句給替換掉來防止SQL注入。例:

public static String SQL(String str)
{
return str.replaceAll(".*([';]+|(--)+).*", " ");
}
userName=SQL(userName);
password=SQL(password);
String sql="select * from users where username='"+userName+"' and password='"+password+"' "
Statement sta = conn.createStatement();
ResultSet rs = sta.executeQuery(sql);
登入後複製

以上是java如何防止sql注入的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板